权限的分配方法、装置、处理器及电子设备与流程

1.本技术涉及信息安全领域，具体而言，涉及一种权限的分配方法、装置、处理器及电子设备。


背景技术：

2.随着信息化技术的快速发展，企业为了便于业务管理和维护，常通过设置对应的业务管理系统的方式，企业内的员工的日常工作都在系统内，从而实现企业内的信息的统一，为了便于信息管理，常通过在系统内进行权限管理的方式为员工划分权限，即在系统内设置安全规则或者安全策略，员工可以访问并且只能访问自己被授权的资源。
3.相关技术中，对业务系统的权限管理是通过层级权限分配方式实现的，即设置类似于金字塔结构的人员层级关系，不同的员工被分配到不同的层级，不同的层级被设置了不同的权限，高层级权限包括低层级权限。然而这种层级关系是固定的，在这样的系统中只能够通过将用户所述的层级上调或者下调的方式调节用户的权限，这种方式使得权限划分灵活性较差，比如在实际应用中可能出现为不同层级中的部分员工统一分配同一业务权限的可能，如果通过调节用户所述的层级的方式，则会出现当前业务权限与其他已经分配业务权限冲突的可能，不利于权限的分配。
4.针对相关技术中业务系统的权限分配效率较低的问题，目前尚未提出有效的解决方案。


技术实现要素：

5.本技术的主要目的在于提供一种权限的分配方法、装置、处理器及电子设备，以解决相关技术中业务系统的权限分配效率较低的问题。
6.为了实现上述目的，根据本技术的一个方面，提供了一种权限的分配方法，应用于权限管理系统。该方法包括：接收权限创建请求，其中，所述权限创建请求用于请求为目标帐号分配在目标业务系统上办理目标业务的业务办理权限；获取所述目标帐号在所述权限管理系统上的目标用户证书，以及获取所述目标业务在所述权限管理系统上的目标业务证书，其中，所述目标用户证书用于证明使用所述目标帐号的目标用户对所述目标业务系统的使用权，所述目标业务证书用于表征对所述目标业务的办理权；根据所述目标用户证书和所述目标业务证书生成目标权限证书，其中，所述目标权限证书用于证明所述目标帐号具有对所述目标业务的业务办理权限；将所述目标权限证书发送至所述目标帐号所登录的前端应用，其中，所述目标权限证书用于在所述目标帐号通过所述前端应用在所述目标业务系统上办理所述目标业务时证明所述目标帐号的业务办理权限。
7.可选的，所述根据所述目标用户证书和所述目标业务证书生成目标权限证书，包括：获取为所述目标帐号对应的初始权限组，其中，所述初始权限组用于记录在所述目标业务系统上为所述目标帐号分配的业务办理权限；将所述目标业务证书对应添加到所述初始权限组中，得到目标权限组，其中，所述目标权限证书包括所述目标权限组。
8.可选的，所述获取所述目标帐号在所述权限管理系统上的目标用户证书，包括：获取存储有所述目标帐号的目标帐号集合，其中，所述目标帐号集合用于存储所述目标用户已经在多个业务系统上注册的帐号，所述多个业务系统包括所述目标业务系统；将与所述目标帐号集合对应的用户证书确定为所述目标用户证书。
9.可选的，在所述获取存储有所述目标帐号的目标帐号集合之前，所述方法还包括：获取参考帐号发起的帐号添加请求，其中，所述参考帐号为所述目标用户在所述权限管理系统上注册的帐号，所述帐号添加请求用于表征所述目标用户在所述目标业务系统上注册了所述目标帐号；响应所述帐号添加请求，将所述目标帐号更新至所述目标帐号集合中。
10.可选的，所述获取所述目标帐号在所述权限管理系统上的目标用户证书,包括：获取所述权限创建请求携带的签名信息，其中，所述签名信息用于表征使用用于发起所述权限创建请求的候选帐号的候选用户对所述目标业务系统的使用权，所述候选帐号为所述候选用户在所述权限管理系统上注册登录的帐号；根据所述签名信息确定所述候选用户对所述目标业务系统的业务权限信息；在所述业务权限信息表征所述候选用户具有管理所述目标业务系统的管理权限的情况下，获取所述目标帐号在所述权限管理系统上的所述目标用户证书。
11.可选的，所述根据所述签名信息确定所述候选用户对所述目标业务系统的业务权限信息，包括：使用所述权限管理系统中存储的用户证书对候选用户证书进行认证，其中，所述签名信息包括所述候选用户证书；在所述候选用户证书认证通过的情况下，获取与所述候选用户证书对应的候选权限组，其中，所述候选权限组中存储了为所述候选帐号分配的业务证书，所述业务证书用于表征对与所述业务证书对应的业务的办理权，所述业务权限信息包括所述候选权限组。
12.可选的，在所述接收权限创建请求之前，所述方法还包括：在接收到帐号登陆请求的情况下，获取所述帐号登陆请求中携带候选帐号的候选帐号信息，其中，所述帐号登陆请求用于请求通过所述候选帐号登陆所述权限管理系统，所述候选帐号是发起所述权限创建请求的帐号；使用目标盐值对所述候选帐号信息进行加密运算，得到目标加密信息；使用参考加密信息对所述目标加密信息进行认证，其中，所述参考加密信息为使用目标盐值对预设帐号信息进行加密运算得到的，所述预设帐号信息为在所述权限管理系统上注册所述候选帐号时所使用的信息；在所述目标加密信息认证通过的情况下，允许所述候选帐号登陆所述权限管理系统。
13.为了实现上述目的，根据本技术的另一方面，提供了一种权限的分配装置，应用于权限管理系统。该装置包括：
14.接收模块，用于接收权限创建请求，其中，所述权限创建请求用于请求为目标帐号分配在目标业务系统上办理目标业务的业务办理权限；
15.第一获取模块，用于获取所述目标帐号在所述权限管理系统上的目标用户证书，以及获取所述目标业务在所述权限管理系统上的目标业务证书，其中，所述目标用户证书用于证明使用所述目标帐号的目标用户对所述目标业务系统的使用权，所述目标业务证书用于表征对所述目标业务的办理权；
16.生成模块，用于根据所述目标用户证书和所述目标业务证书生成目标权限证书，其中，所述目标权限证书用于证明所述目标帐号具有对所述目标业务的业务办理权限；
17.发送模块，用于将所述目标权限证书发送至所述目标帐号所登录的前端应用，其中，所述目标权限证书用于在所述目标帐号通过所述前端应用在所述目标业务系统上办理所述目标业务时证明所述目标帐号的业务办理权限。
18.通过本技术，采用以下步骤：接收权限创建请求，其中，所述权限创建请求用于请求为目标帐号分配在目标业务系统上办理目标业务的业务办理权限；获取所述目标帐号在所述权限管理系统上的目标用户证书，以及获取所述目标业务在所述权限管理系统上的目标业务证书，其中，所述目标用户证书用于证明使用所述目标帐号的目标用户对所述目标业务系统的使用权，所述目标业务证书用于表征对所述目标业务的办理权；根据所述目标用户证书和所述目标业务证书生成目标权限证书，其中，所述目标权限证书用于证明所述目标帐号具有对所述目标业务的业务办理权限；将所述目标权限证书发送至所述目标帐号所登录的前端应用，其中，所述目标权限证书用于在所述目标帐号通过所述前端应用在所述目标业务系统上办理所述目标业务时证明所述目标帐号的业务办理权限，即通过设置权限管理系统，在权限管理系统上为每个目标业务系统上的目标应用分配目标用户证书，该目标用户证书用于证明使用目标帐号的目标用户对目标业务系统的使用权，并且，在该权限管理系统上还为每个目标业务分配了表征对目标业务办理权限的目标业务证书，从而实现对证书的细粒度管理，进而根据目标用户证书和目标业务证书生成目标权限证书，通过该权限证书证明目标帐号具有对目标业务的业务办理权限，从而实现对业务权限的灵活分配，解决了相关技术中业务系统的权限分配效率较低的问题。进而达到了提高对业务系统的权限分配效率的效果。
附图说明
19.构成本技术的一部分的附图用来提供对本技术的进一步理解，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
20.图1是根据本技术实施例提供的权限的分配方法的流程图；
21.图2是根据本技术实施例的一种可选的系统登陆示意图；
22.图3是根据本技术实施例的一种可选的权限组示意图；
23.图4是根据本技术实施例的一种帐号集合维护示意图；
24.图5是根据本技术实施例的一种可选的信息交互示意图；
25.图6是根据本技术实施例的一种可选的信息交互时序图；
26.图7是根据本技术实施例的权限的分配装置的示意图；
27.图8是根据本技术实施例的一种可选的电子设备示意图。
具体实施方式
28.需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本技术。
29.为了使本技术领域的人员更好地理解本技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分的实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本技术保护的范
围。
30.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
31.下面结合优选的实施步骤对本发明进行说明，图1是根据本技术实施例提供的权限的分配方法的流程图，如图1所示，应用与权限管理系统，该方法包括如下步骤：
32.步骤s101，接收权限创建请求，其中，所述权限创建请求用于请求为目标帐号分配在目标业务系统上办理目标业务的业务办理权限；
33.步骤s102，获取所述目标帐号在所述权限管理系统上的目标用户证书，以及获取所述目标业务在所述权限管理系统上的目标业务证书，其中，所述目标用户证书用于证明使用所述目标帐号的目标用户对所述目标业务系统的使用权，所述目标业务证书用于表征对所述目标业务的办理权；
34.步骤s103，根据所述目标用户证书和所述目标业务证书生成目标权限证书，其中，所述目标权限证书用于证明所述目标帐号具有对所述目标业务的业务办理权限；
35.步骤s104，将所述目标权限证书发送至所述目标帐号所登录的前端应用，其中，所述目标权限证书用于在所述目标帐号通过所述前端应用在所述目标业务系统上办理所述目标业务时证明所述目标帐号的业务办理权限。
36.本技术实施例提供的权限的分配方法，通过设置权限管理系统，在权限管理系统上为每个目标业务系统上的目标应用分配目标用户证书，该目标用户证书用于证明使用目标帐号的目标用户对目标业务系统的使用权，并且，在该权限管理系统上还为每个目标业务分配了表征对目标业务办理权限的目标业务证书，从而实现对证书的细粒度管理，进而根据目标用户证书和目标业务证书生成目标权限证书，通过该权限证书证明目标帐号具有对目标业务的业务办理权限，从而实现对业务权限的灵活分配，解决了相关技术中业务系统的权限分配效率较低的问题。进而达到了提高对业务系统的权限分配效率的效果。
37.在上述步骤s101提供的实施例中，权限创建请求可以是目标用户发起的或者还可以是对目标业务系统具有管理权限的候选用户发起的，当有目标用户发起时，权限创建请求上需携带有候选用户的认证信息，本方案对权限创建请求的发起方是谁不做限定，比如可以是目标用户使用目标帐号在目标业务系统上发起的，或者还可以是目标用户使用在权限管理系统上注册的帐号在权限管理系统上发起的，或者还可以是具有对目标业务系统的业务管理权限的候选用户在通过在目标业务系统上注册的帐号在目标业务系统上发起的，或者还可以是候选用户使用在权限管理系统上注册的帐号在权限管理系统上发起的。
38.在上述步骤s102提供的实施例中，目标用户证书可以是数字证书(包含了用户的私钥、用户的身份信息以及数字签名等信息)、api密钥、oauth令牌等形式，本方案对此不做限定。
39.可选地，在本实施例中，目标业务证书可以但不限与是数字证书、api密钥、oauth令牌等形式，本方案对此不做限定。
40.可选地，在本实施例中，同一个用户证书可以和同一个用户在多个不同的业务系统上注册的帐号具有对应关系，用于证明同一个用户对不同的业务系统的使用权限，比如，有a、b、c三个业务系统，目标用户在业务系统a上注册了帐号a，在业务系统b上注册了帐号b，在业务系统c上注册了帐号c，可以为目标用户分配目标用户证书，该目标用户证书对应着帐号a、b、c，该目标用户证书证明了目标用户对业务系统a、b、c的使用权限，通过这种方案可以实目标用户对业务系统a、b、c的免密登陆的功能，即将目标用户证书发送至目标用户所使用的终端设备上，该终端设备上部署了业务系统a、b、c的前端应用，用户可以使用该目标用户证书在用户的终端设备上对业务系统a、b、c的免密登陆，图2是根据本技术实施例的一种可选的系统登陆示意图，如图2所示，目标用户证书为目标用户分配的，其与目标用户在不同业务系统(图中的业务系统a、b、c)上注册的帐号具有对应关系，进而在目标用户登录业务系统时，可以统一的使用目标用户证书进行登录认证，实现对多个业务系统的免密登录，避免由于使用的业务系统增多带来的帐号管理问题，节省了用户对系统登录的时间。
41.在上述步骤s103提供的实施例中，根据目标用户证书和目标业务证书生成目标权限证书的方式可以是将目标用户证书和目标业务证书进行合并的方式，从而得到合并后的目标权限证书，或者，还可以是对目标用户证书和目标业务证书进行加密计算，从而得到运算后的目标权限证书。
42.在上述步骤s104提供的实施例中，目标帐号在办理目标业务时，可以用目标权限证书发起业务办理请求(比如发起携带有目标权限证书的业务办理请求，或者发起业务办理请求，并使用目标权限证书对业务办理请求进行签名)，目标业务系统的后台服务器在接收到该业务办理请求后需要对业务办理请求进行权限验证，在进行权限验证时，目标业务系统的后台服务器可以是将业务办理请求发送给权限管理系统进行验证，或者还可以是通过本地存储的权限验证信息对业务办理请求进行验证(权限验证信息是业务管理系统发送给目标业务系统的后台服务器的)，本方案对此不做限定。
43.作为一种可选的实施例，所述根据所述目标用户证书和所述目标业务证书生成目标权限证书，包括：
44.获取为所述目标帐号对应的初始权限组，其中，所述初始权限组用于记录在所述目标业务系统上为所述目标帐号分配的业务办理权限；
45.将所述目标用户证书和所述目标业务证书对应添加到所述初始权限组中，得到目标权限组，其中，所述目标权限证书包括所述目标权限组。
46.可选地，在本实施例中，目标帐号和初始权限组可以是一一对应的关系，即一个目标帐号对应一个初始权限组，该初始权限组存储的是目标帐号在目标业务系统上的权限，或者初始权限组还可以是和目标用户在不同的业务系统上注册的不同的帐号具有对应关系，在该权限组中存储的是帐号和业务证书的对应关系，从而表征帐号在对应的业务系统上的业务办理权限，图3是根据本技术实施例的一种可选的权限组示意图，如图3所示，为了实现权限管理的细粒度，可以分别将用户、业务系统以及业务系统上的单个业务作为一个主体，分别分配对应的证书，该证书能够唯一的标识对应的主体，进而在权限组中将业务系统证书和该业务系统上的业务证书进行对应存储，从而表征用户在不同业务系统上具有的办理不同业务的权限。
47.作为一种可选的实施例，所述获取所述目标帐号在所述权限管理系统上的目标用户证书，包括：
48.获取存储有所述目标帐号的目标帐号集合，其中，所述目标帐号集合用于存储所述目标用户已经在多个业务系统上注册的帐号，所述多个业务系统包括所述目标业务系统；
49.将与所述目标帐号集合对应的用户证书确定为所述目标用户证书。
50.可选地，在本实施例中，一个帐号集合中存储了一个用户在不同的业务系统上注册的帐号，每个帐号集合又对应分配了一个用户证书，从而证明该集合对应的用户对集合中存储了帐号的业务系统具有使用权限，进而用户可以通过该目标用户证书实现对帐号集合中帐号对应的业务系统实现免密登陆。
51.作为一种可选的实施例，在所述获取存储有所述目标帐号的目标帐号集合之前，所述方法还包括：
52.获取参考帐号发起的帐号添加请求，其中，所述参考帐号为所述目标用户在所述权限管理系统上注册的帐号，所述帐号添加请求用于表征所述目标用户在所述目标业务系统上注册了所述目标帐号；
53.响应所述帐号添加请求，将所述目标帐号更新至所述目标帐号集合中。
54.图4是根据本技术实施例的一种帐号集合维护示意图，如图4所示，同一个帐号集合中存储了同一个用户在不同业务系统注册的对应的帐号，进而，每当用户在新的业务系统上注册帐号后，将最新注册的目标帐号存储到帐号集合中。
55.作为一种可选的实施例，所述获取所述目标帐号在所述权限管理系统上的目标用户证书,包括：
56.获取所述权限创建请求携带的签名信息，其中，所述签名信息用于表征使用用于发起所述权限创建请求的候选帐号的候选用户对所述目标业务系统的使用权，所述候选帐号为所述候选用户在所述权限管理系统上注册登录的帐号；
57.根据所述签名信息确定所述候选用户对所述目标业务系统的业务权限信息；
58.在所述业务权限信息表征所述候选用户具有管理所述目标业务系统的管理权限的情况下，获取所述目标帐号在所述权限管理系统上的所述目标用户证书。
59.可选地，在本实施例中，签名信息可以是候选帐号使用候选用户证书对权限创建请求进行签名得到的，该候选用户证书用于表征候选用户对目标业务系统具有使用权限，或者签名信息还可以是候选帐号使用候选用户的候选权限证书对权限创建请求进行签名得到的，该候选权限证书用于表征候选用户具有在目标业务系统上办理特定业务的业务办理权限，本方案对此不做限定。
60.可选地，在本实施例中，当候选帐号使用候选权限证书对权限创建请求进行签名时，则业务权限信息可以是通过对签名信息进行识别，从而将签名信息中携带的候选业务证书作为候选用户的业务权限信息，或者，当候选帐号使用候选用户证书对权限创建请求进行签名时，则可以通过获取候选用户证书对应的候选权限组的方式，进而将候选权限组作为候选用户的业务权限信息，本方案对此不做限定。
61.作为一种可选的实施例，所述根据所述签名信息确定所述候选用户对所述目标业务系统的业务权限信息，包括：
62.使用所述权限管理系统中存储的用户证书对候选用户证书进行认证，其中，所述签名信息包括所述候选用户证书；
63.在所述候选用户证书认证通过的情况下，获取与所述候选用户证书对应的候选权限组，其中，所述候选权限组中存储了为所述候选帐号分配的业务证书，所述业务证书用于表征对与所述业务证书对应的业务的办理权，所述业务权限信息包括所述候选权限组。
64.可选地，在本实施例中，用户证书可以但不限于是通过非对称密钥算法生成的密钥对中的私钥，私钥由用户保存，密钥对中的公钥则由权限管理系统保存，用于对私钥进行认证。
65.作为一种可选的实施例，在所述接收权限创建请求之前，所述方法还包括：
66.在接收到帐号登陆请求的情况下，获取所述帐号登陆请求中携带候选帐号的候选帐号信息，其中，所述帐号登陆请求用于请求通过所述候选帐号登陆所述权限管理系统，所述候选帐号是发起所述权限创建请求的帐号；
67.使用目标盐值对所述候选帐号信息进行加密运算，得到目标加密信息；
68.使用参考加密信息对所述目标加密信息进行认证，其中，所述参考加密信息为使用目标盐值对预设帐号信息进行加密运算得到的，所述预设帐号信息为在所述权限管理系统上注册所述候选帐号时所使用的信息；
69.在所述目标加密信息认证通过的情况下，允许所述候选帐号登陆所述权限管理系统。
70.可选地，在本实施例中，目标盐值是通过目标字符串生成方法生成的，该目标字符串生成方法可以是和用户登录注册的帐号信息(比如用户的帐号密码、用户身份证信息等等)对应设置的，从而保证用户帐号注册时的盐值和帐号登录时的盐值相同。
71.可选地，在本实施例中，对目标盐值和候选帐号信息进行加密运算的方式可以是按照目标规则对目标盐值和帐号信息进行混合，并对混合后的信息进行哈希运算。
72.可选地，在本技术中，通过设置权限管理系统从而实现使用权限管理系统对业务系统上不同用户的权限分配，图5是根据本技术实施例的一种可选的信息交互示意图，如图5所示，终端设备上部署有目标业务系统的前端应用，权限管理系统和终端设备之间具有通信关系，权限管理系统和目标业务系统的后台服务器之间具有通信关系，终端设备和目标业务系统后台服务器之间具有通信关系，权限管理系统用于执行权限分配操作，并将分配的权限证书发送至用户使用的终端设备上进行存储，进而在用户发起业务办理请求后，使用本地存储的权限证书对业务办理请求进行签名认证，进而目标业务系统的后台服务器在接收到业务办理请求后可以通过权限管理系统对业务办理请求携带的权限信息进行认证，并在认证通过后执行对应的业务办理操作。
73.图6是根据本技术实施例的一种可选的信息交互时序图，如图6所示，至少包括如下步骤：
74.s601，权限管理系统响应权限创建请求为目标帐号分配权限，得到目标权限证书；
75.s602，将目标权限证书发送至使用目标帐号的目标用户的终端设备上进行存储；
76.s603，用户每次在发起业务办理请求时，使用目标权限证书进行签名认证；
77.s604，目标业务系统的后台服务器在接收到业务办理请求后向权限认证系统发送鉴权请求，请求权限管理系统对业务办理请求所携带的权限进行认证；
78.s605，权限管理系统在完成权限认证后向目标业务系统的后台服务器发送通知消息；
79.s606，目标业务系统的后台服务器在接收到权限认证通过的通知消息后，进行目标业务的业务办理操作。
80.可选的，本技术中的权限管理系统可以但不限与具有如下功能点：接受用户证书申请、生成证书、储存证书、颁发(或拒绝颁发)证书、接受用户的证书查询，撤销、产生和发布证书的有效期、证书和密钥的归档、用户在ca系统(权限管理系统)上新增，更新自己的(多个)账号密码、用户领取初始权限组(取决于根ca)、通过证书来实现信息系统网站的免密登录，根据权限组实现系统的访问控制。
81.对于接受用户证书请求：用户登录ca认证系统，如有必要，进行注册。用户进入申请证书功能，输入统一认证号，姓名，电话等信息，上传本地的公钥文件后点击提交。后台处理用户信息，归档后生成证书。
82.对于生成证书：生成证书完全在后端进行，用户在提交证书申请信息后，服务器在后端处理相关信息，并生成固定格式的.mycer证书文件。
83.对于储存证书：证书在本地以文件形式储存，在服务器以字段形式加密储存。
84.对于颁发(或拒绝颁发)证书：用户在登录ca认证系统后，进入下载证书功能，输入要下载证书的序列号，服务器通过浏览器向用户发送一个证书文件，完成证书颁发。
85.对于接受用户的证书查询，撤销请求：用户登录ca认证系统后，进入查看证书功能可以看到自己的证书并且可以下载。进入撤销证书功能，输入待查询的证书序列号和该证书登记时的用户密码，后台验证成功后，在crl库中登记，完成证书撤销。
86.对于产生和发布证书的有效期：证书有效期从发布证书开始，时限一年。
87.对于证书和密钥的归档：证书一律以文件形式储存在本地路径下，详细信息以字段形式保存在数据库中。
88.对于用户在ca系统上新增，更新自己的(多个)账号密码：用户在登录系统后，进入我的密码箱功能来新增和更新自己在各个信息系统上的密码。
89.对于用户领取初始权限组(取决于根ca)：用户注册ca时，会被分配一个初始权限组，初始权限组由根ca拥有者创立，提升或收回权限时只需加入新的权限组或剥离原有权限组。
90.通过证书来实现信息系统网站的免密登录，根据权限组实现系统的访问控制：用户申请证书后，将证书(可一键安装)安装在浏览器中，登录信息系统时和目标网站的证书相互认证后实现免密登录，校验信息系统白名单是否有到该用户权限组的映射来实现访问控制。
91.进一步的，注册：用户在ca认证系统上注册时，需满足国密规定的密码规则来进行注册，其他姓名，统一认证号，身份证号等校验规则这里不多赘述。用户输入合法信息并点击注册后，前端进行rsa加密后发送到后端，在后端解密并验证消息完整性后生成强随机串，也就是盐值，与密码混合后哈希处理，将哈希值和盐值储存在数据库中。
92.登录：用户登录输入统一认证号，密码信息，后天根据统一认证号提取密码密文和盐值，对用户输入的密码按同样规则和盐值混合后哈希处理，和数据库中的哈希值比对，匹配成功才能登录。
93.证书的密钥生成：在ca认证系统页面上点击密钥生成器，下载一个genkey.exe文件，运行后在本地生成pk.key和sk.key。前者为公钥文件，后者为私钥文件，二者共同组成一队2048bit的rsa公私钥对。
94.证书吊销列表crl：crl是储存在ca中的一个列表形式的文件，该文件可以下载到用户主机上，可以通过windows驱动安装到系统中，和浏览器建立联系，浏览器在浏览网站时，内置了许多互联网上网站的证书和crl，浏览器根据证书内容和crl验证证书的有效性，给用户可信提示。
95.证书验证：用户申请并下载证书后，利用windows的证书相关程序和浏览器内置的驱动程序，将证书安装到浏览器上，每次访问网页时，由网页来验证证书的有效性，并给用户提供相应提示，通过证书验证实现免密登录。
96.权限划分：每个ca证书能够唯一的标识一个主体，那么在划分系统权限的时候可以直接修改网页的信任证书列表，来实现权限的自由分配和细粒度管理，在权限组内，可通过协议分发和库分发方式来统一分发密码。
97.协议分发指的是各方协商和共享密钥的算法和协议，包括：diffie-hellman密钥交换；rsa密钥交换；ecdh密钥交换kerberos身份认证协议等。
98.库分发方法有以下几种：手动分发：管理员手动将密钥库分发给需要的用户或系统，这种方法适用于小型网络环境。
99.集中管理：将密钥库集中管理在一台或多台服务器上，用户从服务器上获取需要的密钥，这种方法适用于中小型网络环境。
100.自动分发：利用自动化工具，自动将密钥库分发给需要的用户或系统，适用于大型网络环境。
101.pki(公钥基础设施)：通过建立pki，将密钥库根据证书来分发，这种方法适用于需要高度安全性的网络环境，如金融领域。
102.系统架构：权限管理是在人员层，权限组层，事务层，系统层上登记各自的证书，在每个层级上实现原子化，即在每个层级上证书代表的个体不可再细分，系统维护各层级的映射来实现权限管理。例如企业的a系统中的b事务权限要分发给a和b两人，由高权限人员c创建权限组c让ab加入，创建人员层上ab到权限组层上c的映射，与权限组层上c到事务层上b的映射，校验这些映射来实现身份鉴别和访问控制，当人员变动如成员d要加入时，由c用自己的私钥签名发起请求，将d加入权限组c，那么再创建d到权限组c上的映射，而权限组c有到事务b的权限，那么新进人员d也拥有了到b的权限。人员变动或权限组更新时只需要维护各层级的映射，不需要变动各层级内部的拓扑结构。
103.需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
104.本技术实施例还提供了一种权限的分配装置，需要说明的是，本技术实施例的权限的分配装置可以用于执行本技术实施例所提供的用于权限的分配方法。以下对本技术实施例提供的权限的分配装置进行介绍。
105.图7是根据本技术实施例的权限的分配装置的示意图。如图7所示，应用于权限管理系统，该装置包括：接收模块，用于接收权限创建请求，其中，所述权限创建请求用于请求
为目标帐号分配在目标业务系统上办理目标业务的业务办理权限；第一获取模块，用于获取所述目标帐号在所述权限管理系统上的目标用户证书，以及获取所述目标业务在所述权限管理系统上的目标业务证书，其中，所述目标用户证书用于证明使用所述目标帐号的目标用户对所述目标业务系统的使用权，所述目标业务证书用于表征对所述目标业务的办理权；生成模块，用于根据所述目标用户证书和所述目标业务证书生成目标权限证书，其中，所述目标权限证书用于证明所述目标帐号具有对所述目标业务的业务办理权限；发送模块，用于将所述目标权限证书发送至所述目标帐号所登录的前端应用，其中，所述目标权限证书用于在所述目标帐号通过所述前端应用在所述目标业务系统上办理所述目标业务时证明所述目标帐号的业务办理权限。
106.本技术实施例提供的权限的分配装置，通过设置权限管理系统，在权限管理系统上为每个目标业务系统上的目标应用分配目标用户证书，该目标用户证书用于证明使用目标帐号的目标用户对目标业务系统的使用权，并且，在该权限管理系统上还为每个目标业务分配了表征对目标业务办理权限的目标业务证书，从而实现对证书的细粒度管理，进而根据目标用户证书和目标业务证书生成目标权限证书，通过该权限证书证明目标帐号具有对目标业务的业务办理权限，从而实现对业务权限的灵活分配，解决了相关技术中业务系统的权限分配效率较低的问题。进而达到了提高对业务系统的权限分配效率的效果。
107.可选的，所述生成模块，包括：第一获取单元，用于获取为所述目标帐号对应的初始权限组，其中，所述初始权限组用于记录在所述目标业务系统上为所述目标帐号分配的业务办理权限；添加单元，用于将所述目标业务证书对应添加到所述初始权限组中，得到目标权限组，其中，所述目标权限证书包括所述目标权限组。
108.可选的，所述第一获取模块，包括：第二获取单元，用于获取存储有所述目标帐号的目标帐号集合，其中，所述目标帐号集合用于存储所述目标用户已经在多个业务系统上注册的帐号，所述多个业务系统包括所述目标业务系统；第一确定单元，用于将与所述目标帐号集合对应的用户证书确定为所述目标用户证书。
109.可选的，所述装置还包括：第二获取模块，用于在所述获取存储有所述目标帐号的目标帐号集合之前，获取参考帐号发起的帐号添加请求，其中，所述参考帐号为所述目标用户在所述权限管理系统上注册的帐号，所述帐号添加请求用于表征所述目标用户在所述目标业务系统上注册了所述目标帐号；更新模块，用于响应所述帐号添加请求，将所述目标帐号更新至所述目标帐号集合中。
110.可选的，所述第一获取模块,包括：第三获取单元，用于获取所述权限创建请求携带的签名信息，其中，所述签名信息用于表征使用用于发起所述权限创建请求的候选帐号的候选用户对所述目标业务系统的使用权，所述候选帐号为所述候选用户在所述权限管理系统上注册登录的帐号；第二确定单元，用于根据所述签名信息确定所述候选用户对所述目标业务系统的业务权限信息；第四获取单元，用于在所述业务权限信息表征所述候选用户具有管理所述目标业务系统的管理权限的情况下，获取所述目标帐号在所述权限管理系统上的所述目标用户证书。
111.可选的，所述第二确定单元，用于：使用所述权限管理系统中存储的用户证书对候选用户证书进行认证，其中，所述签名信息包括所述候选用户证书；在所述候选用户证书认证通过的情况下，获取与所述候选用户证书对应的候选权限组，其中，所述候选权限组中存
储了为所述候选帐号分配的业务证书，所述业务证书用于表征对与所述业务证书对应的业务的办理权，所述业务权限信息包括所述候选权限组。
112.可选的，所述装置还包括：第三获取模块，用于在所述接收权限创建请求之前，在接收到帐号登陆请求的情况下，获取所述帐号登陆请求中携带候选帐号的候选帐号信息，其中，所述帐号登陆请求用于请求通过所述候选帐号登陆所述权限管理系统，所述候选帐号是发起所述权限创建请求的帐号；运算模块，用于使用目标盐值对所述候选帐号信息进行加密运算，得到目标加密信息；证模块，用于使用参考加密信息对所述目标加密信息进行认证，其中，所述参考加密信息为使用目标盐值对预设帐号信息进行加密运算得到的，所述预设帐号信息为在所述权限管理系统上注册所述候选帐号时所使用的信息；处理模块，用于在所述目标加密信息认证通过的情况下，允许所述候选帐号登陆所述权限管理系统。
113.所述权限的分配装置包括处理器和存储器，上述模块、单元等均作为程序单元存储在存储器中，由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
114.处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来解决了相关技术中业务系统的权限分配效率较低的问题。
115.存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)，存储器包括至少一个存储芯片。
116.本发明实施例提供了一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时实现所述权限的分配方法。
117.本发明实施例提供了一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行所述权限的分配方法。
118.图8是根据本技术实施例的一种可选的电子设备示意图，如图8所示，本发明实施例提供了一种电子设备，设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序，处理器执行程序时实现以下步骤：接收权限创建请求，其中，所述权限创建请求用于请求为目标帐号分配在目标业务系统上办理目标业务的业务办理权限；获取所述目标帐号在所述权限管理系统上的目标用户证书，以及获取所述目标业务在所述权限管理系统上的目标业务证书，其中，所述目标用户证书用于证明使用所述目标帐号的目标用户对所述目标业务系统的使用权，所述目标业务证书用于表征对所述目标业务的办理权；根据所述目标用户证书和所述目标业务证书生成目标权限证书，其中，所述目标权限证书用于证明所述目标帐号具有对所述目标业务的业务办理权限；将所述目标权限证书发送至所述目标帐号所登录的前端应用，其中，所述目标权限证书用于在所述目标帐号通过所述前端应用在所述目标业务系统上办理所述目标业务时证明所述目标帐号的业务办理权限。
119.可选的，所述根据所述目标用户证书和所述目标业务证书生成目标权限证书，包括：获取为所述目标帐号对应的初始权限组，其中，所述初始权限组用于记录在所述目标业务系统上为所述目标帐号分配的业务办理权限；将所述目标业务证书对应添加到所述初始权限组中，得到目标权限组，其中，所述目标权限证书包括所述目标权限组。
120.可选的，所述获取所述目标帐号在所述权限管理系统上的目标用户证书，包括：获取存储有所述目标帐号的目标帐号集合，其中，所述目标帐号集合用于存储所述目标用户已经在多个业务系统上注册的帐号，所述多个业务系统包括所述目标业务系统；将与所述
目标帐号集合对应的用户证书确定为所述目标用户证书。
121.可选的，在所述获取存储有所述目标帐号的目标帐号集合之前，所述方法还包括：获取参考帐号发起的帐号添加请求，其中，所述参考帐号为所述目标用户在所述权限管理系统上注册的帐号，所述帐号添加请求用于表征所述目标用户在所述目标业务系统上注册了所述目标帐号；响应所述帐号添加请求，将所述目标帐号更新至所述目标帐号集合中。
122.可选的，所述获取所述目标帐号在所述权限管理系统上的目标用户证书,包括：获取所述权限创建请求携带的签名信息，其中，所述签名信息用于表征使用用于发起所述权限创建请求的候选帐号的候选用户对所述目标业务系统的使用权，所述候选帐号为所述候选用户在所述权限管理系统上注册登录的帐号；根据所述签名信息确定所述候选用户对所述目标业务系统的业务权限信息；在所述业务权限信息表征所述候选用户具有管理所述目标业务系统的管理权限的情况下，获取所述目标帐号在所述权限管理系统上的所述目标用户证书。
123.可选的，所述根据所述签名信息确定所述候选用户对所述目标业务系统的业务权限信息，包括：使用所述权限管理系统中存储的用户证书对候选用户证书进行认证，其中，所述签名信息包括所述候选用户证书；在所述候选用户证书认证通过的情况下，获取与所述候选用户证书对应的候选权限组，其中，所述候选权限组中存储了为所述候选帐号分配的业务证书，所述业务证书用于表征对与所述业务证书对应的业务的办理权，所述业务权限信息包括所述候选权限组。
124.可选的，在所述接收权限创建请求之前，所述方法还包括：在接收到帐号登陆请求的情况下，获取所述帐号登陆请求中携带候选帐号的候选帐号信息，其中，所述帐号登陆请求用于请求通过所述候选帐号登陆所述权限管理系统，所述候选帐号是发起所述权限创建请求的帐号；使用目标盐值对所述候选帐号信息进行加密运算，得到目标加密信息；使用参考加密信息对所述目标加密信息进行认证，其中，所述参考加密信息为使用目标盐值对预设帐号信息进行加密运算得到的，所述预设帐号信息为在所述权限管理系统上注册所述候选帐号时所使用的信息；在所述目标加密信息认证通过的情况下，允许所述候选帐号登陆所述权限管理系统。
125.本文中的设备可以是服务器、pc、pad、手机等。
126.本技术还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有如下方法步骤的程序：接收权限创建请求，其中，所述权限创建请求用于请求为目标帐号分配在目标业务系统上办理目标业务的业务办理权限；获取所述目标帐号在所述权限管理系统上的目标用户证书，以及获取所述目标业务在所述权限管理系统上的目标业务证书，其中，所述目标用户证书用于证明使用所述目标帐号的目标用户对所述目标业务系统的使用权，所述目标业务证书用于表征对所述目标业务的办理权；根据所述目标用户证书和所述目标业务证书生成目标权限证书，其中，所述目标权限证书用于证明所述目标帐号具有对所述目标业务的业务办理权限；将所述目标权限证书发送至所述目标帐号所登录的前端应用，其中，所述目标权限证书用于在所述目标帐号通过所述前端应用在所述目标业务系统上办理所述目标业务时证明所述目标帐号的业务办理权限。
127.可选的，所述根据所述目标用户证书和所述目标业务证书生成目标权限证书，包括：获取为所述目标帐号对应的初始权限组，其中，所述初始权限组用于记录在所述目标业
务系统上为所述目标帐号分配的业务办理权限；将所述目标业务证书对应添加到所述初始权限组中，得到目标权限组，其中，所述目标权限证书包括所述目标权限组。
128.可选的，所述获取所述目标帐号在所述权限管理系统上的目标用户证书，包括：获取存储有所述目标帐号的目标帐号集合，其中，所述目标帐号集合用于存储所述目标用户已经在多个业务系统上注册的帐号，所述多个业务系统包括所述目标业务系统；将与所述目标帐号集合对应的用户证书确定为所述目标用户证书。
129.可选的，在所述获取存储有所述目标帐号的目标帐号集合之前，所述方法还包括：获取参考帐号发起的帐号添加请求，其中，所述参考帐号为所述目标用户在所述权限管理系统上注册的帐号，所述帐号添加请求用于表征所述目标用户在所述目标业务系统上注册了所述目标帐号；响应所述帐号添加请求，将所述目标帐号更新至所述目标帐号集合中。
130.可选的，所述获取所述目标帐号在所述权限管理系统上的目标用户证书,包括：获取所述权限创建请求携带的签名信息，其中，所述签名信息用于表征使用用于发起所述权限创建请求的候选帐号的候选用户对所述目标业务系统的使用权，所述候选帐号为所述候选用户在所述权限管理系统上注册登录的帐号；根据所述签名信息确定所述候选用户对所述目标业务系统的业务权限信息；在所述业务权限信息表征所述候选用户具有管理所述目标业务系统的管理权限的情况下，获取所述目标帐号在所述权限管理系统上的所述目标用户证书。
131.可选的，所述根据所述签名信息确定所述候选用户对所述目标业务系统的业务权限信息，包括：使用所述权限管理系统中存储的用户证书对候选用户证书进行认证，其中，所述签名信息包括所述候选用户证书；在所述候选用户证书认证通过的情况下，获取与所述候选用户证书对应的候选权限组，其中，所述候选权限组中存储了为所述候选帐号分配的业务证书，所述业务证书用于表征对与所述业务证书对应的业务的办理权，所述业务权限信息包括所述候选权限组。
132.可选的，在所述接收权限创建请求之前，所述方法还包括：在接收到帐号登陆请求的情况下，获取所述帐号登陆请求中携带候选帐号的候选帐号信息，其中，所述帐号登陆请求用于请求通过所述候选帐号登陆所述权限管理系统，所述候选帐号是发起所述权限创建请求的帐号；使用目标盐值对所述候选帐号信息进行加密运算，得到目标加密信息；使用参考加密信息对所述目标加密信息进行认证，其中，所述参考加密信息为使用目标盐值对预设帐号信息进行加密运算得到的，所述预设帐号信息为在所述权限管理系统上注册所述候选帐号时所使用的信息；在所述目标加密信息认证通过的情况下，允许所述候选帐号登陆所述权限管理系统。
133.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
134.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序
指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
135.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
136.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
137.在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
138.存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。存储器是计算机可读介质的示例。
139.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
140.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
141.本领域技术人员应明白，本技术的实施例可提供为方法、系统或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
142.以上仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。

技术特征：
1.一种权限的分配方法，其特征在于，应用于权限管理系统，包括：接收权限创建请求，其中，所述权限创建请求用于请求为目标帐号分配在目标业务系统上办理目标业务的业务办理权限；获取所述目标帐号在所述权限管理系统上的目标用户证书，以及获取所述目标业务在所述权限管理系统上的目标业务证书，其中，所述目标用户证书用于证明使用所述目标帐号的目标用户对所述目标业务系统的使用权，所述目标业务证书用于表征对所述目标业务的办理权；根据所述目标用户证书和所述目标业务证书生成目标权限证书，其中，所述目标权限证书用于证明所述目标帐号具有对所述目标业务的业务办理权限；将所述目标权限证书发送至所述目标帐号所登录的前端应用，其中，所述目标权限证书用于在所述目标帐号通过所述前端应用在所述目标业务系统上办理所述目标业务时证明所述目标帐号的业务办理权限。2.根据权利要求1所述的方法，其特征在于，所述根据所述目标用户证书和所述目标业务证书生成目标权限证书，包括：获取为所述目标帐号对应的初始权限组，其中，所述初始权限组用于记录在所述目标业务系统上为所述目标帐号分配的业务办理权限；将所述目标业务证书对应添加到所述初始权限组中，得到目标权限组，其中，所述目标权限证书包括所述目标权限组。3.根据权利要求1所述的方法，其特征在于，所述获取所述目标帐号在所述权限管理系统上的目标用户证书，包括：获取存储有所述目标帐号的目标帐号集合，其中，所述目标帐号集合用于存储所述目标用户已经在多个业务系统上注册的帐号，所述多个业务系统包括所述目标业务系统；将与所述目标帐号集合对应的用户证书确定为所述目标用户证书。4.根据权利要求3所述的方法，其特征在于，在所述获取存储有所述目标帐号的目标帐号集合之前，所述方法还包括：获取参考帐号发起的帐号添加请求，其中，所述参考帐号为所述目标用户在所述权限管理系统上注册的帐号，所述帐号添加请求用于表征所述目标用户在所述目标业务系统上注册了所述目标帐号；响应所述帐号添加请求，将所述目标帐号更新至所述目标帐号集合中。5.根据权利要求1所述的方法，其特征在于，所述获取所述目标帐号在所述权限管理系统上的目标用户证书,包括：获取所述权限创建请求携带的签名信息，其中，所述签名信息用于表征使用用于发起所述权限创建请求的候选帐号的候选用户对所述目标业务系统的使用权，所述候选帐号为所述候选用户在所述权限管理系统上注册登录的帐号；根据所述签名信息确定所述候选用户对所述目标业务系统的业务权限信息；在所述业务权限信息表征所述候选用户具有管理所述目标业务系统的管理权限的情况下，获取所述目标帐号在所述权限管理系统上的所述目标用户证书。6.根据权利要求5所述的方法，其特征在于，所述根据所述签名信息确定所述候选用户对所述目标业务系统的业务权限信息，包括：
使用所述权限管理系统中存储的用户证书对候选用户证书进行认证，其中，所述签名信息包括所述候选用户证书；在所述候选用户证书认证通过的情况下，获取与所述候选用户证书对应的候选权限组，其中，所述候选权限组中存储了为所述候选帐号分配的业务证书，所述业务证书用于表征对与所述业务证书对应的业务的办理权，所述业务权限信息包括所述候选权限组。7.根据权利要求1所述的方法，其特征在于，在所述接收权限创建请求之前，所述方法还包括：在接收到帐号登陆请求的情况下，获取所述帐号登陆请求中携带候选帐号的候选帐号信息，其中，所述帐号登陆请求用于请求通过所述候选帐号登陆所述权限管理系统，所述候选帐号是发起所述权限创建请求的帐号；使用目标盐值对所述候选帐号信息进行加密运算，得到目标加密信息；使用参考加密信息对所述目标加密信息进行认证，其中，所述参考加密信息为使用目标盐值对预设帐号信息进行加密运算得到的，所述预设帐号信息为在所述权限管理系统上注册所述候选帐号时所使用的信息；在所述目标加密信息认证通过的情况下，允许所述候选帐号登陆所述权限管理系统。8.一种权限的分配装置，其特征在于，应用于权限管理系统，包括：接收模块，用于接收权限创建请求，其中，所述权限创建请求用于请求为目标帐号分配在目标业务系统上办理目标业务的业务办理权限；第一获取模块，用于获取所述目标帐号在所述权限管理系统上的目标用户证书，以及获取所述目标业务在所述权限管理系统上的目标业务证书，其中，所述目标用户证书用于证明使用所述目标帐号的目标用户对所述目标业务系统的使用权，所述目标业务证书用于表征对所述目标业务的办理权；生成模块，用于根据所述目标用户证书和所述目标业务证书生成目标权限证书，其中，所述目标权限证书用于证明所述目标帐号具有对所述目标业务的业务办理权限；发送模块，用于将所述目标权限证书发送至所述目标帐号所登录的前端应用，其中，所述目标权限证书用于在所述目标帐号通过所述前端应用在所述目标业务系统上办理所述目标业务时证明所述目标帐号的业务办理权限。9.一种处理器，其特征在于，所述处理器用于运行程序，其中，所述程序运行时执行权利要求1至7中任意一项所述的权限的分配方法。10.一种电子设备，其特征在于，包括一个或多个处理器和存储器，所述存储器用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现权利要求1至7中任意一项所述的方法。

技术总结
本申请公开了一种权限的分配方法、装置、处理器及电子设备。涉及信息安全领域，该方法包括：接收权限创建请求；获取目标帐号在权限管理系统上的目标用户证书，以及获取目标业务在权限管理系统上的目标业务证书；将目标权限证书发送至目标帐号所登录的前端应用，其中，目标权限证书用于在目标帐号通过前端应用在目标业务系统上办理目标业务时证明目标帐号的业务办理权限。通过本申请，解决了相关技术中业务系统的权限分配效率较低的问题。中业务系统的权限分配效率较低的问题。中业务系统的权限分配效率较低的问题。


技术研发人员：毛立夏
受保护的技术使用者：中国工商银行股份有限公司
技术研发日：2023.07.19
技术公布日：2023/10/19